Primjena Pareto načela u upravljanju rizicima
Može li se 80% rizika upravljati sa samo 20% napora? Pareto pravilo 80/20 je koristan koncept u upravljanju rizicima.
Nadamo se da su svi dionici u kibernetičkoj sigurnosti duboko svjesni da se rizik ne može potpuno eliminirati - stoga je potrebno uravnoteženo upravljanje rizicima.
Osim toga, propisi u području kibernetičke sigurnosti sve više naglašavaju upravljanje rizicima kako bi se poboljšao sigurnosni položaj i smanjila izloženost prijetnjama. Na primjer, nadolazeća direktiva NIS2 nalaže organizacijama koje su pogođene da imaju sustav upravljanja rizicima i sigurnošću informacija. U praksi, to znači provođenje redovitih vježbi procjene rizika s ciljem identifikacije, obrade i praćenja kibernetičkih rizika organizacije.
Imajući sve to na umu, nije čudo što mnoga rješenja za kibernetičku sigurnost sada uključuju funkcionalnosti usmjerene prema CISO-ima i upravljanju kibernetičkim rizicima, uključujući izradu modela rizika kako bi se izračunala verjetnost napada po zonama i učinkovitost odgovarajućih mjera za ublažavanje rizika.
Pareto načelo - poznato i kao 80-20 pravilo - nazvano prema ekonomistu Vilfredu Pareto, tvrdi da se otprilike 80 posto učinaka ili rezultata pripisuje 20 posto uzroka ili uloženog ulaza. Za praktičare kibernetičke sigurnosti ovo se prevodi u:
➡ 80% poslovnog rizika koji može prouzrokovati najveću štetu dolazi od samo 20% ranjivosti.
➡ 20% ulaganja u kibernetičke alate donosi 80% vrijednosti.